Dois-je déployer Aperçu sur le site de production?
J'ai récemment ajouté un Aperçu Débogueur paquet à mon projet. Cet ajout d'une référence à l'Aperçu de la dll, et la modification de certains Web.Config.
J'aime mon projet autant les mêmes que possible sur mon développement et l'environnement de production.
Est-il donc enregistrer/sage pour déployer Aperçu de mon site de production, ou devrais-je créer un autre projet (ou de la création d'une branche de mon fichier csproj) afin de la garder seulement localement?
Trucs que je suis inquiet, mentionnons les suivants:
- Performance
- Les violations de la sécurité
- Une mise à jour de ce, nous avons publié une nouvelle updaet un peu tout à l'heure, ce qui vous permet de verrouiller les choses vers le bas à l'aide de même plus logique personnalisée - blog.getglimpse.com/2013/12/09/...
Vous devez vous connecter pour publier un commentaire.
Je crois que si le cookie pour l'Aperçu n'est pas trouvé, il n'a pas de charger ou de faire quoi que ce soit, la performance devrait être négligeable. Sage de la sécurité, vous pouvez simplement mettre un utilisateur de restriction dans le web.config pour l'emplacement de l'aperçu chemin.
Ou si il y a un rôle d'administrateur, vous pourriez le faire par rôle à la place du nom d'utilisateur.
Vous pouvez également le désactiver si vous ne voulez pas compter sur la présence du cookie. Ce facilement atteint par le biais de web.config transforme, je n'ai pas testé le balisage encore, mais quelque chose comme cela devrait fonctionner.
Mise à JOUR: Aperçu a vu quelques changements récemment et (depuis la 1.0, je crois?) la transformation serait maintenant se présenter comme suit. Tentative de définition de la
enabled
attribut donnera une erreur de configuration dans la version la plus récente de l'Aperçu.Que la documentation met...
Il convient de noter que le seul but de cette transformation sert, c'est que si vous voulez supprimer la possibilité d'utiliser Aperçu dans le cadre de votre processus de déploiement. Si vous voulez conditionnellement le désactiver sur la base d'autres critères tels que la distance des demandes d'autorisation ou de vérifier, c'est mieux fait par les politiques. Aperçu fonctionne sur une série de politiques aujourd'hui (tous basés sur le
IRuntimePolicy
), conçu pour aider à déterminer lors de l'aperçu devraient être autorisés à le faire. En fait une fois le coup d'œil est installé, si vous accédez à l'aperçu.axd, au bas de cette page, vous verrez une liste de stratégies qui sont actuellement activés. Comme leLocalPolicy
qui l'empêche d'être consulté par les demandes à distance (configurably, toute politique peut être ignoré par le web.config pour permettre les demandes à distance) http://getglimpse.com/Help/Configuration. Ils ont aussi un exemple de classe appeléGlimpseSecurityPolicy
qui est inclus lorsque vous installez Aperçu à l'aide de Nuget, que vous pouvez utiliser pour ajouter une autorisation de restrictions.Maintenant, les stratégies sont utilisées pour déterminer lors de l'aperçu doit s'exécuter, mais ils ne sont pas empêcher l'utilisateur d'être en mesure d'afficher l'aperçu.axd page. Le cookie peut toujours être activé à partir de ce que de ce que je peux dire, mais le cookie est vide de sens si entrevoir refuse de fonctionner malgré le cookie est présent. Cela étant dit, Il est toujours conseillé d'envelopper le coup d'œil.axd page dans une demande d'autorisation à l'aide de l'emplacement de la balise dans votre site web.config. À noter que c'est en plus de la
GlimpseSecurityPolicy
ci-dessus.Add Config Transforms
Il existe de nombreux tutoriels qui expliquent comment ces fichiers de travail, et la syntaxe à utiliser. msdn.microsoft.com/en-us/library/dd465326.aspxGlimpse/Config
a été remplacé parGlimpse.axd
.IRuntimePolicy
.Yarx est à droite sur quasiment tous les fronts.
À partir d'un point de vue de sécurité, vous pouvez verrouiller le chemin à l'aide de la méthode décrite. La seule chose c'est, il y a plus d'URL points finaux aperçu utilise, de sorte que la règle devrait être quelque chose comme
*Glimpse/*
(où * indique que quelque chose peut venir devant elle et tout ce qui peut venir après elle). Une fois cela en place, aperçu devrait être assez verrouillé.Aussi, si dans la config, vous avez utilisé de la transformation que Yarx fourni, aperçu ne sera jamais de la charge, même si vous avez le cookie activée.
*Glimpse/*
n'est pas autorisé dans l'attribut path<location> path attribute must be a relative virtual path. It cannot contain any of '?' ':' '\' '*' '"' '<' '>' or '|'.
alors où dois-je le mettre? MerciDe départ avec Aperçu 1.7 il est plus générique, de façon à sécuriser
~/glimpse.axd
avec l'avantage supplémentaire que vous utilisez la même politique pour tous. Vous devez simplement vous assurer que votre stratégie personnalisée est demandé que des ressources trop:Avis de la
| RuntimeEvent.ExecuteResource
. Voir en bas de: Sécurisation De L'Aperçu.axd la voie à suivre.